1、云計算IaaS的發展

　　IaaS作為基礎設施級別的云計算服務，其將網絡、存儲、計算等資源進行虛擬化等處理，能夠為每個用戶提供相對獨立的服務器計算資源、存儲資源以及在承載網上設定專有的數據轉發通道，這種云計算的模式已經得到IT業界的廣泛認可。

　　IBM、惠普、亞馬遜、谷歌等IT巨頭，憑借強大的IT基礎設施硬件能力和IaaS云計算軟件平臺總體解決方案獨占鰲頭；而國內部分傳統的IDC服務商或數據中心外包服務廠商，憑借其對IDC業務運營的經驗也逐漸開始切入到IaaS云計算市場；一些大型企業尤其是互聯網企業利用自身對互聯網運營的理解和應用系統資源也積極切入云計算市場，典型如阿里云、盛大云和騰訊云等；此外積極參與IaaS云計算服務的還包括國內多家運營商以及部分地方政府等。尤其是國內的大型運營商，憑借其在基礎網絡設施管道、互聯網出口寬帶資源、大量中小企業托管客戶資源平臺的優勢以及強大的運維支撐能力，已經成為IaaS云計算建設的重要力量。如中國電信"天翼云"已經推出云存儲、云主機等業務，中國聯通也正在推進虛擬數據中心VDC的商用并為用戶提供云存儲、云主機等IaaS服務，這些運營商所具備的大型IDC的運營能力、強大的軟件開發能力和整合硬件平臺的能力以及互聯網的運營經驗將有助于其云計算IaaS服務的推廣。

　　在IaaS環境下，云計算租戶無須關注基礎設施的建設和維護，只需要結合自身的業務向服務商提交相應的存儲計算網絡資源申請，就可以在服務商提供的存儲計算環境上，基于自身業務自行選擇適合自身的操作系統和安裝各種應用程序，這對于很多類型的企業或者企業中的部分業務具備很好的吸引力。尤其是對一些業務系統訪問流量具有周期性特點的企業，或者是對部分需要較大計算能力的用戶，IaaS的云計算服務可以幫助企業以最小的代價滿足自身需要。

　　2SaaS（安全即服務）的主要內容

　　2.1IaaS環境下的公共安全防護

　　IaaS的服務提供商需要對IaaS環境提供一些基礎的公共安全保障，服務商需要對用戶的數據安全或應用安全提供一定程度的安全保證，甚至簽署SLA協議。這些公共的安全防護包括以下幾個方面：

　　基礎網絡安全保障

　　對于云計算服務商而言，在其將網絡、存儲、計算和帶寬等資源統一打包租給用戶時，這些基礎物理設施的安全防護是需要重點保證的，也應該是SLA內容的一部分。包括基本的物理環境安全防護；交換機設備安全特性的開啟以防止諸如ARP攻擊和MAC地址攻擊等L2層網絡安全攻擊；云服務商互聯網出口的基礎安全防護以及針對DDoS的攻擊防護，特別是對于DDoS攻擊服務，單純的基于用戶進行防護并不能起到很好的效果，云計算服務商需要將這些危害到基礎設施基礎安全的風險統一考慮。

　　用戶自助服務管理平臺的訪問安全

　　用戶需要登錄到運營商的云服務管理平臺，進行自身的管理操作，如設置基礎的安全防護策略，針對關鍵服務器的訪問權限控制，用戶身份認證加密協議配置，虛擬機的資源配置、管理員權限配置及日志配置的自動化。這些部署流程應該被遷移到自服務模型并為用戶所利用。在這種情況下，云計算服務商本身需要對租戶的這種自服務操作進行用戶身份認證確認，用戶策略的保密、不同租戶之間的配置安全隔離以及用戶關鍵安全事件的日志記錄以便后續可以進行問題跟蹤溯源。

　　服務器虛擬化的安全

　　在服務器虛擬化的過程中，單臺的物理服務器本身可能被虛化成多個虛擬機并提供給多個不同的租戶，這些虛擬機可以認為是共享的基礎設施，部分組件如CPU、緩存等對于該系統的使用者而言并不是完全隔離的。此時任何一個租戶的虛擬機漏洞被黑客利用將導致整個物理服務器的全部虛擬機不能正常工作，同時，針對全部虛擬機的管理平臺，一旦管理軟件的安全漏洞被利用將可能導致整個云計算的服務器資源被攻擊從而造成云計算環境的癱瘓。針對這類型公用基礎設施的安全需要部署防護。

　　內部人員的安全培訓和行為審計

　　為了保證用戶的數據安全，云服務商必須要對用戶的數據安全進行相應的SLA保證。同時必須在技術和管理兩個角度對內部數據操作人員進行安全培訓。一方面通過制定嚴格的安全制度要求內部人員恪守用戶數據安全，另一方面，需要通過技術手段，將內部人員的安全操作日志、安全事件日志、修改管理日志、用戶授權訪問日志等進行持續的安全監控，確保安全事件發生后可以做到有跡可尋。

　　2.2IaaS環境下SaaS（安全即服務）的增值服務

　　為了差異化用戶的類型，服務商還可以根據用戶的需求，將網絡安全作為一種增值服務出租給用戶，這些安全增值服務包含以下幾個方面：

　　防火墻增值服務

　　用戶在租用計算資源后，相當于自身具備了一臺相對獨立的網絡安全存儲計算環境，在這種情況下，面對自身的應用系統，需要進行安全區域的設置，并配置適當的安全域策略來規范對應用系統的訪問和禁止；與此同時，服務商需要為每個租戶提供網絡安全事件的日志信息，以及經過分析歸并的安全事件分析報表，便于租戶對自身的網絡、計算及存儲資源的安全狀況進行評估，在必要的情況下可以給用戶的策略調整提供依據和支撐。

　　IPS入侵防御增值服務

　　在IaaS環境中也存在很多的安全漏洞，用戶在租用云服務商的計算資源并部署相關應用系統時，需要針對自身的應用系統的安全風險進行適當的漏洞防御；不同的租戶有各自的應用系統環境，也面對差異化的安全漏洞風險，云服務商可以提供獨立的安全資源池，用戶可以根據自身業務系統的安全級別合理選擇是否租用該漏洞防護服務。

　　LB負載均衡增值服務

　　隨著企業關鍵應用逐漸向Web化轉移，企業所屬服務器的對外Web應用正在不斷增加，單業務流量帶寬也在不斷增加，此時，單個的虛擬機或服務器本身提供的性能不足，需要向服務商租用多臺服務器或者虛擬機實現業務承載。在這種情況下，為了保證各服務器的均衡工作，租戶可以有選擇地使用服務商提供的負載均衡業務。

　　安全VPN服務

　　用戶在租用云計算服務時，為了保證數據的訪問安全，一般情況下都會對訪問數據進行VPN加密，同時針對用戶訪問進行嚴格的身份認證和權限控制。一般來說用戶可以根據自身的情況進行VPN模式的選擇，如果主要是固定分支訪問可以選擇IPSecVPN的加密方式，如果是移動接入用戶為主可以選擇SSLVPN的接入方式，或者是兩種方式的綜合。服務商可以通過VPN增值服務來滿足用戶差異化的VPN訪問要求。

　　2.3IaaS環境下SaaS（安全即服務）的部署模型

　　在安全即服務的模型指導下，不同的租戶可以選擇適合自身需要的云服務模型，以滿足差異化的需求；同時不同的用戶對于同一種服務本身也會存在不同的技術要求，因此在服務模型設計時，需要從橫向和縱向兩個維度進行考慮為客戶設計差異化的技術及方案：

　　從橫向維度來看，云服務商可以根據增值安全服務的類型，在默認支持IPSecVPN接入的情況下，將FW、IPS或者LB等服務作為劃分用戶等級的元素，通過單類型服務或多種服務組合，設計出不同的套餐種類：如對普通客戶默認不提供任何安全增值服務，對銅牌客戶默認提供防火墻增值服務，對銀牌客戶可以提供防火墻加IPS入侵防護的增值服務，而對金牌客戶則可以提供包括防火墻、IPS入侵防御、LB負載均衡以及SSLVPN的全套服務，這種劃分方式比較簡單直接，用戶可以根據自身對安全的需求進行選擇(如圖1右側圖所示)。

　　從縱向維度來看，云服務商可以根據不同的用戶對于單個增值服務的使用粒度進行劃分。如針對防火墻服務，對于不同的用戶級別，可以通過吞吐量、并發連接數、安全策略數等易測量指標進行劃分，比如可以定義"50M防火墻吞吐量帶寬+1萬并發連接數+500條安全策略"作為一個基礎性能包進行資費定義；針對IPS服務可以從特征庫的類別進行劃分，如只開啟數據庫類特征庫、操作系統類特征庫或者Web應用特征庫等，用戶可以根據自身應用系統的情況自行選擇；針對LB負載均衡業務，則可以基于需要調度的流量負載、用戶所擁有的最大虛服務個數、最大訪問控制策略數等進行組合定義（如圖1左側圖所示）。

圖1、差異化的SaaS（安全即服務）模型定義示意圖

　　在SaaS（安全即服務）的模型中，通過對安全作為服務進行精確的、可測量的劃分，才能實現不同等級和需求的用戶可以根據自身需要基于自助服務平臺靈活選擇。在實際的云計算環境部署過程中，多種安全服務將作為獨立的資源池部署在云計算網絡的匯聚或核心節點（如圖2左上部分所示），針對選擇了安全服務的租戶，將通過特定的引流策略或路由配置，引導這部分用戶流量流經安全資源池，保證用戶流量得到安全檢查。

圖2、SaaS（安全即服務）在云計算環境中心的部署

　　3SaaS（安全即服務）的技術支撐

　　在SaaS(安全即服務)的模型中，要求安全設備及軟件具備以下的技術支撐：

　　虛擬化的技術支持

　　在SaaS（安全即服務）的模型下，不同的租戶可能選擇差異化的安全模型，此時需要安全資源池的設備可以通過虛擬化技術提供基于用戶的專有安全服務。如針對防火墻安全業務的租戶，為了將不同租戶的流量在傳輸過程中進行安全隔離，需要在防火墻上使能虛擬防火墻技術，不同的租戶流量對應到不同的虛擬防火墻實例，此時，每個租戶可以在自身的虛擬防火墻實例中配置屬于自己的訪問控制安全策略，同時要求設備記錄所有安全事件的日志，創建基于用戶的安全事件分析報告，一方面可以為用戶的網絡安全策略調整提供技術支撐，另一方面一旦發生安全事件，可以基于這些日志進行事后的安全審計并追蹤問題發生的原因。其它的安全服務類型如IPS和LB負載均衡等也需要通過虛擬化技術將流量引入到設備并進行特定的業務處理。

　　管理平臺的技術支持

　　云計算服務商需要建設統一的云管理平臺，實現對整個云計算基礎設施資源的管理和監控。在SaaS（安全即服務）的模型要求下，統一的云管理平臺應在安全管理功能的完整性以及接口API的開放性兩個方面有所考慮。前者要求管理平臺需要切實承擔起對全部安全資源池設備的集中設備管理、安全策略部署以及整網安全事件的監控分析和基于用戶的報表展示；后者的考慮是為了適配云計算環境中可能存在的多種安全設備類型或多廠商設備，也需要在API接口的開放性和統一性上進行規范和要求，以實現對下掛安全資源池設備的配置管理和日志格式轉換等需求。也只有這樣才能實現設備和管理平臺的無縫對接，提升云管理平臺的自動化管理能力。

　　結束語

　　現階段的云計算IaaS模式在國內還處在發展的初期，SaaS（安全即服務）的模型在安全服務的類型提供、安全資源的可測量性、以及安全運維管理能力基線化方面仍需進一步的探索和實踐，才能形成完善的IaaS云計算解決方案，更好的滿足用戶的需求。

原文鏈接：http://net.zol.com.cn/292/2929551.html